Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : la police néerlandaise met à terre le botnet Bredolab

octobre 2010 par CERT-XMCO

 Date : 27 Octobre 2010

 Gravité : Moyenne

  Description :
Lundi 25 octobre dernier, la police néerlandaise a saisi 143 serveurs sur lesquels reposait le botnet Bredolab. Ceux-ci constituaient le centre de commande et de contrôle (C&C) du réseau de zombies, et étaient hébergés sur le réseau de LeaseWeb, le plus gros hébergeur du pays. Dans le même temps, la police arménienne a arrêté le botmaster Georgiy Avanesov, âgé de 27 ans, dans l’aéroport international arménien de Zvartnots.

Bredolab était un botnet similaire à Zeus : le malware permettait à son propriétaire de dérober des couples d’identifiants/mot de passe, de placer un keylogger sur un système compromis et même d’y voler certaines données. Le botnet était aussi loué à d’autres cyberpirates afin de leur permettre de réaliser d’autres méfaits. À la fin de l’année dernière (2009), on estimait que 3,6 milliards de pourriels étaient envoyés par jour et contenaient le logiciel malveillant Bredolab, permettant ainsi à l’opérateur du botnet d’infecter 3 millions de systèmes par mois. Selon certaines sources, le botnet serait actuellement constitué de 29 millions de "zombies", répartis partout dans le monde (Italie, Espagne, Afrique du Sud, États-Unis, Royaume-Uni...).

L’équipe néerlandaise en charge de la "récupération" du botnet était constituée de plusieurs acteurs nationaux (la police, le FAI LeaseWeb, le Dutch Forensic Institute (NFI), Fox-IT une société spécialisée dans la sécurité et enfin le GOVCERT) ayant démontré à cette occasion une forte coopération entre eux. Cette équipe a pris le contrôle des zombies et les a associés à un nouveau C&C sous son contrôle pour empêcher le pirate arménien de reprendre leur contrôle en les dirigeant vers un autre C&C. Afin de réaliser cela, l’équipe a utilisé et installé un "gentil" malware pour détourner les systèmes compromis. Cette technique particulière avait déjà été utilisée auparavant par la police néerlandaise dans le cadre d’affaires similaires. Celle-ci reste néanmoins "douteuse" d’un point de vue légal. En effet, la prise de contrôle d’un PC à distance (aussi bien par un "gentil" bot que par un "mauvais", et cela pour une raison "légitime" ou non) est souvent interdite dans la plupart des pays.

Après cela, les utilisateurs ouvrant un navigateur Internet étaient redirigés vers la page suivante :
http://teamhightechcrime.nationale-recherche.nl/nl_infected.php

Cette page aurait déjà été affichée sur 100 000 systèmes distincts. Elle présente des explications pour se protéger et désinfecter son PC du malware Bredolab. Parallèlement, une autre page a été mise en place afin de permettre aux victimes du botmaster de déposer une plainte. Déjà 55 dépôts ont été enregistrés.

Lorsque le pirate a découvert la tentative de prise de contrôle de son botnet, il a tenté de contrer l’attaque de son adversaire en réalisant une attaque en déni de service sur le nouveau C&C de la police à partir de 220 000 PC toujours sous son contrôle.

D’après des chercheurs de Trend Micro, il resterait au moins un serveur de contrôle du botnet toujours actif (proobizz.cc).

 Référence :

http://www.zdnet.co.uk/news/security-threats/2010/10/26/dutch-police-take-down-bredolab-botnet-40090649/?s_cid=938

http://news.hostexploit.com/cybercrime-news/4611-russian-wanted-for-dutch-computer-crimes-arrested.html

http://www.computerworld.com/s/article/9193080/Dutch_team_up_with_Armenia_for_Bredolab_botnet_take_down?taxonomyId=142

http://www.scmagazineus.com/botnet-sending-bredolab-trojan-dismantled-one-arrested/article/181767/

http://www.sophos.com/blogs/gc/g/2010/10/26/bredolab-botnet-shut/

http://www.networkworld.com/news/2010/102610-dutch-team-up-with-armenia.html

http://countermeasures.trendmicro.eu/bredolab-dead-dying-or-dormant/

http://blog.fireeye.com/research/2010/10/bredolab-severely-injured-but-not-dead.html

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1477


Voir les articles précédents

    

Voir les articles suivants